No API risks, more fun

Die Vereinigung OWASP – das Akronym steht für Open Web Application Security Project [1] – ist eine bekannte und viel zitierte Quelle für alles rund um das Thema Websicherheit. Von lokalen und Online-Treffen über Cheatsheets und Checklisten bis hin zu diverser Open-Source-Software gibt es hier zu fast allen Facetten von Web Application Security ein von Freiwilligen erstelltes Angebot. Doch denkt man an die OWASP, denkt man zunächst an eine ganz bestimmte Veröffentlichung – die bekannteste und auch eine der ersten: die OWASP Top Ten [2], eine Liste der zehn größten Sicherheitslücken für Webanwendungen (Bild 1). Die Liste wird mit einigem Aufwand alle drei bis vier Jahre erstellt und aktualisiert, letztmals 2021 (und die internen Wetten des Autors dieses Artikels laufen eher in die Richtung, dass es erst 2025 wieder eine neue Fassung geben wird). Was das genau aus Sicht von ASP.NET Core bedeutet, haben wir vor etwa zwei Jahren in der dotnetpro ausführlich behandelt [3].